TERVEISIÄ VENÄJÄLTÄ

Venäläisillä huijareilla on onneksi vaikeuksia scandeissa (ääkköset), joten huijauskirjeen lähtömaa ja ikävät aikeet selviää ilman syvällisempää tutkintaakin.  Kirjeen sisältö on riittävän outoa ja epäloogista, kertoakseen kirjeen epäterveellisistä tavoitteista..

Ajoin kirjeessä olevan linkkiosoitteen kuitenkin virustarkistuksen läpi ja sain odottamiani vastauksia.
Esiin kaivettu linkki: "hxxps://tr11.patriotsedition. com/?xtl=kxh0..."  ja sen takaa piilosta vielä jatkolinkki "cardioclear7. com" molemmat todettiin epäilyttäväksi. ÄLÄ KLIKKAA! 

Osoitetta toistetaan eri tekstien yhteyksissä samanlaisena, eli ihan sama mihin linkkiin klikkaisit, päätyisit aina samaan ansaan. tr11.patriotsedition. com ei vaikuta rehelliseltä toimijalta, vaan se on erittäin suurella todennäköisyydellä huijaussivusto.

FALCON SANDBOX virustorjunta kertoo: Suspicious domain detected. Details: Input URL or Contacted Domain: "cardioclear7. com" has been identified as suspicious 

Linkin päässä oleva osoite johtaa edelleen uuteen osoitteeseen: Suspicious Redirect (Delayed Redirect):

Se varsinainen vaara: "Adversaries may communicate using application layer protocols associated with web traffic to avoid detection/network filtering by blending in with existing traffic"
Tämä tarkoittaa, että viattomalta vaikuttavan dataliikenteen seassa voidaan ujuttaa koneellesi vaikkapa virus.
"An adversary may rely upon specific actions by a user in order to gain execution".
Google käännös: "Vastustaja voi luottaa käyttäjän tiettyihin toimiin saadakseen suorituksen".
Tämä voidaan tulkita, että huijari voi harhauttaa kirjeen lukijan antamaan arkoja tietoja, esim. pankkikirjautumisen ja/tai henkilötietojaan.

Tämankaltaista materiaalia voidaan uittaa koneellesi vaikkapa videoksi naamioidulla tiedostolla, tai videon esitys-appilla, kuten kirjeen teksteistä voisi päätellä.

-------------------------------------------KIRJE-----------------------------------------------

GOOGLE kertoo osoitteesta lisää: "Verkkosivustoa tr11.patriotsedition. com käytetään "Trump 2024 TRB11 Patriots Coin" -kolikon markkinointiin."

Tämä kirje ei ole kuitenkaan lähtöisin Amerikasta tai Trumpin organisaatioista. Osoitetta käytetään naamioimaan venäläinen huijausyritys.

OIKEA VEROVIRANOMAISEN VIESTI

KUN SAAT TÄMAN KALTAISEN VIESTIN VIRANOMAISLTA, SE ON AITO JA OIKEA!

Nyt saapuu sähköpostina näitä veropäätösilmoituksia ja on hyvä osata erottaa "oikea" "väärästä".

1) Katso mistä viesti on lähetetty. suomi. fi on Suomen viranomaisten yhteinen osoite

2) Kirjeessä ei saa olla kirjautumislinkkiä 

------------------------------------AITO KIRJE TXT muodossa----------------------------------------------

Tämä kirje on aito veroviranomaisen viesti. HUOMAA, että kirjeessä ei ole linkkiä ja, että se on saapunut 0soitteesta <noreply@suomi. fi> palvelusta.

------------------------------HUIJAUSKIRJE-------------------------------------

Tässä huijauskirjeessä oleva linkki EI VIE Oikeusministeriön sivuille, vaan huijarin käyttämälle palvelimelle. Nämä mallikirjeet on kaapattu tekstimuotoisista e-maileista, koska ne paljastavat yleensä enemmän huijarin metkuja, kuin HTML esitykset. Tässäkin tapauksessa on selkeästi luettavissa linkin osoite, joka kiertää Googlen palvelun kautta huijarin kryptattuun osoitteeseen.

------------------------------TOINEN HUIJAUSVIESTI-----------------------------------

Tämäkään kirje ei saavu suomi. fi palvelusta, vaan verkkorikollisen varastamasta, espanjalaisesta "telefonica. net" osoitteesta, joka ei ole edes käytössä.
Kirjeen linkki vie jälleen Googlen palvelun kautta rikollisen ansapalvelimelle:.https://notifications.googleapis. com/email/redirect?t=3DAFG8qyUAadz8MwoLCzYN17kl...

POSTIN NIMISSÄ JÄLLEEN HUIJATAAN

Linkki veisi osoitteeseen: https://track.pstmrk. it/ (Italiaan).

Jälleen hankalasti selvitettävissä oleva ansa mutta muutama verkosta löytyvä vinkki auttaa kaikissa epäilyttävissä kirjeissä.

Linkissä esiintyvä "Postmark" on laillinen ja laajasti käytetty globaali palvelu.
Huomioi väärinkäytön mahdollisuus: Vaikka domain itsessään on turvallinen, rikolliset voivat usein hyödyntää laillisia sähköpostipalveluita phishing- eli tietojenkalasteluviestien lähettämiseen.
Näitä huijausposteja saapuu mm. Googlen ja Amazonin osoitteiden kautta.
Molemmat kirjeen linkit vievät kaiken lisäksi samaan osoitteeseen, vaikka kirjoitettu tarkoitus on eri.

Linkki voi johtaa väärennetylle kirjautumissivulle, jossa yritetään varastaa tunnuksiasi (esim. pankki-, sähköposti- tai Apple ID -tunnuksia). Se voi myös ladata laitteellesi haittaohjelman.

Tarkista aina viestin lähettäjä: Jos odotit sähköpostia (esimerkiksi viranomaiskirjettä, pakettia, kuittia tai salasanan palautusta) tutulta yritykseltä, linkkiä voi olla turvallista klikata.
Älä klikkaa, jos viesti on epäilyttävä: Jos viesti tuli yllättäen tai se pyytää kirjautumaan pankkitunnuksilla tai syöttämään luottokorttitietoja, älä klikkaa linkkiä.
TARKISTA AINA LÄHETTÄJÄOSOITE!

Tämän kirjeen lähetysosoite on epäilyttävä, koska se on vanha Inetin osoite "code-posti-scanner-qr@pp.inet. fi". Osoitteella halutaan viitata Postin QR tagipalveluun, joka ei suinkaan takaa kirjeen turvallisuutta. Kyseessä on vanha, alkujaan Telian (Soneran) tarjoama suomalainen sähköpostiosoite.
Posti käyttää vain omaa osoitettaan "posti. fi" ja kertoo myös palvelupisteen osoitteen, josta paketti on noudettavissa.

----------------------------------------KIRJE------------------------------------------

EDELLINEN SAMANKALTAINEN ANSA POSTIN NIMISSÄ:

https://vaarallinenweb.blogspot.com/2026/06/postin-nimissa-qr-tagi-ansa.html

VAIN TAIVAS ON HUIJARIN MIELIKUVITUKSEN RAJANA

Olisiko huijari jo näin epätoivoinen, että kirjoittaa diibadaabaa ja kuvittelee, että joku vielä häntä uskoo?
Huijauskäyttöön varastettu lähetysosoite viittaa Itävaltaan, Liittovaltion kauppakorkeakouluun, jolla ei ole mitään tekemistä huijarin kanssa.

Samoin vastaanottajan osoitteessa oleva domain "dsi. fi" on "parkissa", eli ei ole käytössä lainkaan.

. Ansa on liitteessä. ÄLÄ AVAA!

-------------------------------KIRJE-------------------------------

CARUNAN NIMISSÄKIN HUIJATAAN

Tämä Carunan nimissä saapunut kirje on HUIJAUS!

Kirje ei tule Carunasta, vaan "cruiseraad. nl" olemattomasta osoitteesta, joka todellisuudessa pestään tuntemattokasi  Amazonin postipalvelun kautta (eu-west-1.amazonses. com).

Linkki vie rikollisen palvelimelle jonka osoite piilotetaan puolestaan Googlen palvelun avulla, jotta lopullinen linkki saadaan piiloon: "https://share. google/0w3oz3qrjLefUsY1G" 

Suuret verkkotoimijat piilottavat ja suosivat rikollista toimintaa!

LIITTEITÄ ei saa avata myöskään.

--------------------------------------KIRJE-------------------------------------------

POSTIN NIMISSÄ QR-TAGI ANSA

ÄLÄ KOSKE KIRJEEN LINKKEIHIN.
Linkit (kaikki vievät samaan ansaan) on todettu virustorjunnassa vaarallisiksi ja ne osoittavat Italiaan.
"https://track.pstmrk .it/3s/track.portal-129901-..." 

Vipre virustorjunta kertoo linkistä: URL Score Malicious (100%) 

Falcon Sandbox virustorjunta kaivoi esille osoitteen ja varoittaa: "

Malicious domain detected. Details: CONTACTED DOMAIN: "portal-129901-login. com" has been identified as malicious

------------------------------------------KIRJE TXT MUODOSSA------------------------------------------

TÄLLÄ ALLA OLEVALLA LINKILLÄ PÄÄSET POSTIN SIVUILLE MUTTA ÄLÄ KLIKKAA EDES TÄTÄ, VAAN KIRJOITA ITSE SELAIMEN OSOITERIVILLE "posti. fi" (poista tyhjä väli pisteen jälkeen)

https://www.posti. fi/ajankohtaista-postilla/20251006_uutta-omapostissa-helposti-koodi-nyt-myos-qr-koodina

KELAN NIMISSÄ HUIJATAAN TAAS

Kaikki viranomaisviestit joissa tarvittaisiin kirjautumista, ovat VAARALLISIA.
Tämän kaltaisten viestien linkkeihin ei saa koskea. Jos epäilet, että sinulla on (esimerkiksi) Kelasta saatavia, mene Kelan sivuille vain selaimen osoitekenttään itse kirjoittamallasi osoitteella "kela. fi" (poista tyhjä väli pisteen jälkeen).

Kirjeestä löytyvä osoite kulkee Googlen kautta huijarin vaaralliselle sivulle.
Falcon Sandbox virustorjunta kertoo tuosta esiinkaivetusta osoitteesta:
"Malicious domain detected. Details: CONTACTED DOMAIN: "gdsdfewas. shop" has been identified as malicious"    Älä avaa myöskään liitteitä!                                                                                   

Tärkeää on myös katsoa, mistä kirje on lähetetty. Tämä kirje saapuu osoitteesta jota ei ole olemassa "activate-me. nl" eikä se ole Kelan osoite.

---------------------------------------------KIRJE---------------------------------------------

TÄMÄ KONNA SIIVOAA LOMPAKKOSI

Lähettäjän osoitetta ei ole olemassa.

Liitteet ovat todemmannäköisesti viruksia tai joka tapauksessa epäterveellistä materiaalia.

Tämän kirjeen "käsiala" muistuttaa aikaisemmin saapuneita huijauskirjeitä eri aiheista.

Linkki vie VAARALLISELLE SIVULLE!
Falcon Sandbox virustorjunta kertoo: "Malicious domain detected. Details: CONTACTED DOMAIN: "trencraft. com" has been identified as malicious". Osoite oli piilotettu lyhennepalvelun kautta.

-------------------------------------------KIRJE------------------------------------------

SUOMI. FI PALVELUN NIMISSÄ KAVALA ANSA

Tämän kirjeen linkki EI VIE SUOMI. FI palveluun, vaikka kirjeessä näkyvä osoite niin väittää.
E-mailin lähdekoodissa näkyy aivan toinen osoite.

Tässäkin kirjeessä kannattaa lukea ihan ensiksi, mistä kirje on tulossa. "murdirekte. no" EI ole SUOMI. FI palvelun osoite.

------------------------------------------KIRJE--------------------------------------

Kirjeen lähdekoodi

HOME SWEET HOME - ESTO KANNATTAA HANKKIA MUUALTA

Tämä homeenesto - "mainos" on ANSA!

Käsiala kirjeessä on entisten tuotelupausansojen kaltainen, eli kirjeet saapuvat samalta huijarilta.

Kuten edellisessä huijauksessa, lähettäjäosoitetta "linkedwoodserver. mom" ei ole olemassa ja vastaanottaja et ole sinä tai minä.

-------------------------------------------KIRJE--------------------------------------------